NIS 2: las empresas aún no están preparadas

Los Estados miembros deben aplicarla antes del 17 de octubre de 2024. Sin embargo, el nuevo informe de Kaspersky – «Enterprise cybersecurity and increasing threats in the era of AI: Do business leaders know what they are doing?«- cuestiona la comprensión de los directivos sobre la última legislación en materia de ciberseguridad.

En octubre de 2024 entrarán en vigor en la Unión Europea (UE) una serie de leyes de ciberseguridad para mejorar la seguridad digital, la protección y la integridad de las redes y los sistemas de información de los Estados miembros de la UE, que abarcan las redes de infraestructuras, los vehículos y las cadenas de suministro. Sin embargo, el último informe de Kaspersky revela que es posible que los directivos no estén preparados para cumplir con la nueva normativa europea de ciberseguridad, que incluye WP.29, NIS-2, la Ley de Resiliencia y la directiva de la UE sobre cadenas de suministro europeas. Según el estudio, pocas empresas han implantado medidas de ciberseguridad en relación con el uso de la IA: solo el 22% se ha planteado regularlas. La situación es similar con la ley WP.29: aunque el 23% de las empresas ya han elaborado planes, aún no han empezado a aplicarlos o materializarlos.

La UE y sus Estados miembros están invirtiendo en reforzar la ciberseguridad en toda Europa:

WP.29 regula un conjunto de normas comunes de ciberseguridad para la automatización de vehículos con el fin de optimizar los sistemas que gestionan los riesgos relacionados con las TI en los vehículos nuevos.
La nueva norma de ciberseguridad NIS-2 pretende modernizar el marco jurídico vigente en los sectores de infraestructuras críticas de la UE, que incluyen la energía, el agua, las telecomunicaciones, el transporte, la sanidad, las finanzas, la banca y los servicios digitales, teniendo en cuenta la transición digital y la evolución del panorama de las ciberamenazas.
Con el fin de reforzar la seguridad informática y digital de los bancos, aseguradoras y empresas de inversión de la UE, la Ley de Resiliencia de la UE garantiza una mayor resistencia ante perturbaciones operativas graves.
La Directiva de la UE sobre la cadena de suministro impone obligaciones legales a las grandes empresas de la UE en materia de diligencia debida en sus cadenas de suministro mundiales, más concretamente en lo que respecta a los derechos humanos y medioambientales.

Inteligencia artificial en las empresas europeas

La mayor parte de esta legislación ya está en vigor o lo estará pronto, pero las conclusiones del informe de Kaspersky apuntan a un problema: aunque los líderes empresariales son conscientes de los peligros de las ciberamenazas, la mayoría no comprende su complejidad o subestima la capacidad de los grupos cibercriminales para lograr sus objetivos. Este escenario, unido a la inadecuada asignación de recursos, genera un debate entre los directivos sobre las complejidades inherentes a la ciberdefensa.
El estudio, «Enterprise Infiltration of AI Gen: C-level executives are an AI ticking time bomb, aware of the risks but too complacent to act», muestra que aunque la Inteligencia Artificial se está convirtiendo en una realidad en el entorno corporativo, los líderes empresariales siguen estando poco informados sobre los riesgos de ciberseguridad asociados a su implantación. Más de la mitad (53%) de los altos ejecutivos reconoce que la Inteligencia Artificial (IA) ya está presente en sus empresas y que permite agilizar las operaciones y simplificar algunas tareas cotidianas. También se señala que el 91% de los ejecutivos quiere saber más sobre cómo funcionan las herramientas de IA y los procesos de gestión de datos, lo que demuestra un enfoque proactivo y cierto interés por aprovechar su potencial. Sin embargo, pocos tienen en cuenta los riesgos de su aplicación, ya que sólo el 59% de los encuestados expresa algún tipo de preocupación por las violaciones de datos relacionadas con la IA y menos de una cuarta parte (22%) ha planteado estas cuestiones de regulación de la IA a sus consejos de administración.

En el sector de la automoción, una encuesta indica que un año después de la entrada en vigor de una de las principales normativas WP.29, el 42% de los directivos encuestados aún no tiene un plan para aplicar la nueva norma europea y la mayoría (63,5%) afirma no estar muy implicada en la planificación de las próximas normativas. La industria del automóvil y sus proveedores revelan que van muy retrasados en la aplicación de la nueva normativa europea.

En resumen, las empresas necesitan soluciones de ciberseguridad automatizadas, flexibles y transparentes, con capacidades avanzadas que les permitan detectar, investigar y responder eficazmente a las amenazas avanzadas en tiempo real. Las lagunas de conocimiento, la falta de preparación de los responsables de ciberseguridad y la actual escasez de competencias ponen de relieve la necesidad de que las empresas adquieran productos EDR y XDR que puedan responder a las diversas necesidades de forma proactiva e integral.

España lidera en Europa la apuesta empresarial por los agentes de IA

Slow Pisces intensifica su ofensiva contra el sector cripto con nuevas técnicas de ingeniería social y malware en GitHub y LinkedIn

La IA se consolida en las PYMEs industriales españolas como motor de innovación y competitividad

Telefónica Tech refuerza su ciberinteligencia con SpyCloud para anticiparse al robo de credenciales

Tecnología, bienestar y productividad: claves para un entorno laboral eficiente

Las credenciales robadas escalan posiciones como vector clave en los ciberataques según M-Trends 2025

OpenAI publica guía gratuita sobre como implementar y escalar casos de uso de la IA

Veeam refuerza la protección de la identidad digital con su nueva solución para Microsoft Entra ID